Mencari kebocoran dan kerentanan pada produk Anda tidak hanya menarik dan berguna, tetapi juga perlu. Bahkan lebih berguna untuk melibatkan spesialis dan penggemar eksternal dalam pencarian tersebut, yang tidak memiliki pandangan kabur yang sama dengan karyawan. Oleh karena itu, pada suatu waktu, kami di QIWI meluncurkan program bug bounty - peneliti menulis kepada kami tentang kerentanan dan menerima penghargaan, dan kami menutup kerentanan ini.
Beberapa kali kami dikirimi kode yang tersedia untuk umum dalam bentuk tautan ke repositori dengan informasi sensitif. Alasan kebocoran bisa jadi sebagai berikut:
pengembang menulis contoh kode pengujian untuk dirinya sendiri menggunakan konfigurasi layanan "produksi" - bukan lingkungan pengujian;
skrip yang diunggah admin untuk otomatisasi dan migrasi basis data - informasi yang berpotensi sensitif;
peserta tanpa sadar memposting kode ke penyimpanan publiknya, percaya bahwa itu tidak berisiko.
Pada saat yang sama, kebocoran tersebut bisa datang baik dari pengembang yang bekerja di perusahaan maupun dari mereka yang sudah berhenti. Misalnya, ada kasus ketika seorang karyawan yang tidak lagi bekerja untuk perusahaan memposting kode di repositori terbuka yang pernah dia bawa pulang untuk bekerja di waktu luangnya. Tampaknya - kedengarannya tidak berbahaya, tetapi di dalam kode semacam itu mungkin ada kata sandi dari database, konfigurasi jaringan atau semacam logika bisnis - secara umum, informasi sensitif untuk perusahaan yang seharusnya tidak tersedia untuk umum.
Seperti yang diperlihatkan oleh praktik, sebagian besar perusahaan sudah terlindungi dengan baik dari ancaman eksternal - dan ini adalah kebocoran internal yang dapat menyebabkan kerugian terbesar. Selain itu, kebocoran semacam itu dapat terjadi secara jahat dan tidak sengaja - dan inilah yang kami katakan di atas.
β : Firewall, SOC, IDS/IPS , β . , , β .
. , , .
QIWI Leak-Search β , Github .
β .
, : - , -, , . , β .
, . . -, , .
Leak-Search , , , . Fortune . , , , .
, . -: , , . , - , : , β .
, Leak-Search. ββ ERP- β ? - ββ IoT- β , ? β β β . .
QIWI Leak-Search
β . β , -, β , , . .
, , β , , , , , β .
, β . , - , β , .
. , , , .
Leak-Search , . :
β β smtp, Dockerfile, proxypass, Authorization;
β β com.qiwi.processing.common;
β β int.qiwi.com, 10.4.3.255;
β , β QIWISECRET_KEY, qiwiToken.
, , . - β , .
. , . Open Source: - . .
, , β «» .
StackOverflow β , , . . , , Github. , .
, , , - , , - Github β , . .
, ? , , . , , .
β killer feature . Leak-Search : , . -, . -, , , .
, , open source, , Github, . , Leak-Search ββ .
, . Github β Leak-Search Gist. - Pastebin Gitlab, BitBucket. API.
, , β false positive, false negative. , .
β β . , , β , .
, Leak-Search . . Leak-Search , β .
, , Leak-Search , ββ. β , , , -, .
, . , , . , β .
, , , , , IT, .
- , , β , .